タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
アニメ作品などのコラボカフェを手掛ける井上商事は6月7日、ECサイト「スイーツパラダイス オンラインショップ」で、利用者のクレジットカード情報7645件が漏えいした可能性があると明らかにした。同サイトは2021年12月にカードが不正利用されたとの報告が相次ぎ、半年に渡り閉鎖したままの状態になっている。 情報漏えいの可能性があるのは、21年8月28日から21年12月8日までの期間に同サイトでクレジットカード決済を行った利用者のカード番号、名義人名、有効期限、セキュリティコード7409人分。サイトの脆弱性を突いた不正アクセスにより、決済システムが改ざんされたことが原因という。なお、クレジットカード情報は同社で保有していなかったとしている。 井上商事は21年12月、サイト利用者やカード会社から不正利用の恐れがあるとの連絡を受け、9日にサイトを閉鎖。第三者機関による調査を始めた。調査結果が出た22
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)で、セキュリティコードを含むカード情報が流出した可能性のある問題に関して、ネットで「保存してはいけないはずのデータを保存していたのか?」との疑問が挙がっている。流出の経緯についてメタップスペイメントに聞いた。 クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。 メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という。攻撃者は、システム侵入時の直前に決済で使われた暗号化されたセキュリティコードを取得できる状態にあったとみられる。メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。 今回の不正アクセ
打楽器専門店を運営するコマキ楽器(東京都台東区)は8月23日、ECサイト「コマキ楽器WEBサイト」が第三者から不正アクセスを受け、最大1667件のクレジットカード情報が漏えいした可能性があると発表した。セキュリティコードも流出しており、カードが悪用された可能性もあるという。 漏えいしたのは、2019年11月27日~2021年2月19日に、同サイトで購入した顧客のカード情報で、名義人、カード番号、有効期限、セキュリティコード。1人が複数のカードを登録していたケースも含め、1513人分の情報が流出し、一部は不正利用された可能性があるという。 2月19日、カード会社から情報漏えいの可能性について指摘を受け、カード決済を停止した上で調査して発覚した。不正アクセスによりサイトの脆弱性が突かれ、ECサイト内の決済アプリが改ざんされたことが原因という。 公表が遅れたのは、「決済代行会社と協議し、不確定な
リンク ITmedia NEWS ソースネクスト、最大で個人情報12万人分、カード情報11万人分漏えいの可能性 不正アクセス受け ソースネクストのECサイトが不正アクセスを受け、最大で個人情報約12万人分、クレジットカード情報11万人分が漏えいした可能性がある。脆弱性を悪用され、決済システムが改ざんされたのが原因としている。 24 users 43
アニメ「エヴァンゲリオン」シリーズなどの著作権管理を手掛けるグラウンドワークス:は11月30日、同社が運営するECサイト「EVANGELION STORE(オンライン)」が第三者の不正アクセスを受け、顧客のクレジットカード情報1万7828件が漏えいした可能性があると発表した。一部の顧客のカード情報は、不正利用された可能性もあるという。 同社は7月12日に、カード会社から漏えい懸念の指摘を受けて、同日中にカード決済を停止し、ECサイトの閉鎖を発表。その後の調査で、2020年6月8日から21年6月30日の間に同ECサイトを利用した顧客1万7828人分のカード名義人名とカード番号、有効期限、セキュリティコード、会員用メールアドレス、パスワードが漏えいした可能性があると明らかになった。 同社に確認したところ「同ECサイトでは、顧客のカード情報は保持していなかった」としており、原因はサイトの改ざんと
スポーツ用品店「KISHISPO」などを展開する岸和田スポーツ(大阪府岸和田市)は5月14日、同社が運営する「Kemari87KISHISPO公式通販サイト」が第三者による不正アクセスを受けたと発表した。2021年2月24日から24年1月17日までに、同サイトで商品を購入した顧客のクレジットカード情報1万3879件および、個人情報3万8664件が漏えいした可能性があるという。 漏えいした可能性があるクレジットカード情報は、期間中に同サイトでクレジットカード決済をした顧客のカード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、住所、電話番号など。個人情報は、期間中に同サイトで商品を購入した顧客の氏名、メールアドレス、住所、電話番号などが含まれる。どちらもメールアドレスのパスワードの漏えいはないという。 該当する利用者には5月14日から個別にメールで連絡する。同社
アニメグッズの製造販売を手掛けるフクヤ(東京都千代田区)は8月16日、ぬいぐるみやアパレルなどの女性オタク向けグッズを販売するECサイト「FUKUYA ONLINE」が不正アクセスを受け、セキュリティコードを含むクレジットカード情報1779件が漏えいした可能性があると発表した。決済処理プログラムを改ざんされ、偽の入力画面を埋め込まれていたという。 漏えいした可能性があるのは、2021年2月15日から3月19日の間にFUKUYA ONLINEでクレジットカード決済を行ったユーザーの氏名、カードの番号、有効期限、セキュリティコード。これ以外の情報を集めたデータベースも第三者が閲覧可能な状態になっていたという。ただし、8月16日時点ではカード情報以外を盗み取られた形跡はないとしている。 フクヤが不正アクセスの可能性に気付いたのは5月6日。クレジットカードの決済代行事業者に連絡を受けたことから発覚
アルゼンチンで新聞販売店を営む男性が、169件のクレジットカード詐欺をおこなったとして逮捕されたそうだ。発表によると容疑者のFernando Falsettiは、クレジットカード詐欺により日本円で約100万円相当の被害を発生させたという。話題になったのはその詐欺の手法(LA NACION、Infobae、GIGAZINE)。 警察が押収したノートから、同容疑者がクレジットカード番号とセキュリティコードを生成するアルゴリズムを見つけ、それを元に紙とペンで計算して有効なクレジットカード番号を割り出していたことが分かったとのこと。
古着通販サイト「ベクトルパーク」を運営するベクトル(岡山県岡山市)は8月18日、同サイトが第三者による不正アクセスを受け、顧客1万8136人分のクレジットカード情報が漏えいした可能性があると発表した。不正アクセスにより、ペイメントアプリケーションを改ざんされたことが原因という。 漏えいした可能性があるのは、2020年4月27日から2021年12月22日に同サイトでクレジットカード決済をした顧客1万8136人分のカード名義人名やクレジットカード番号、有効期限、セキュリティコード、ログオンID、パスワード。対象の顧客には電子メールで個別に連絡する。 事態が発覚したのは2021年12月7日。同サイトから不正に情報が送信されている可能性があると岡山県警から連絡を受けたという。その後社内調査により、不正のプログラムを発見して除去、12月29日にベクトルパークでのカード決済を完全に停止したとしている。
日清紡グループで紳士シャツの販売などを手掛ける東京シャツ(東京都台東区)は6月7日、同社が運営するECサイト「東京シャツ公式オーダーサイト」が不正アクセスを受け、セキュリティコードを含むクレジットカード情報など計2218人分が漏えいした可能性があると発表した。ECサイトの脆弱性を突かれ、利用していたWebアプリを改ざんされたという。 漏えいした可能性があるのは、(1)2019年4月2日から22年3月8日にかけ、ECサイトにクレジットカード情報を入力した人のカード番号、名義人、有効期限、セキュリティコード、IPアドレス、氏名、住所、メールアドレスなど991人分、(2)19年4月2日から22年5月26日にかけてECサイトに登録した人の氏名や生年月日など33人分、(3)21年10月1日から22年3月8日にかけて、東京シャツの店舗にあるタブレット端末からシャツを注文した人の氏名や住所、メールアドレ
デザイン婚姻届のECサイト「婚姻届製作所」を運営するユナイテッド(山形県米沢市)は9月7日、同サイトが不正アクセスを受け、利用者のクレジットカード情報1131件が流出した可能性があると発表した。システムの脆弱性を突かれ、顧客がWebブラウザで入力した決済情報を不正ファイルに転送するよう改ざんされたのが原因。同社内でカード情報は保持していないという。 流出した可能性があるのは、2020年12月13日から2021年3月21日に同サイトを利用した顧客1131人分のクレジットカード番号、カード名義人名、有効期限、セキュリティコード。対象の顧客には連絡済みで、クレジットカード会社と連携して不正取引を防止するとしているが、一部のカード情報はすでに不正利用された可能性もあるという。 4月2日に、カード会社から情報流出の懸念があると指摘を受けたことで事態が発覚。同日中にカード決済機能を停止した。公表が遅れ
ホームセンターを展開するジョイフル本田(茨城県土浦市)は5月16日、同社が運営する「THE GLOBE・OLD FRIEND オンラインショップ」が第三者による不正アクセスを受けたと発表した。クレジットカード情報3958件、個人情報2万132件が漏えいした可能性があるという。 漏えいした可能性があるのは、2021年3月17日から24年1月18日に同ECサイトでクレジットカード決済をした顧客のクレジットカード情報の他、12年10月27日から24年1月22日に同ECサイトで会員登録または購入をした顧客の個人情報、21年3月17日から24年1月22日に同ECサイトでログイン/会員登録をした顧客のログインIDとパスワードという。 そのうち、クレジットカード情報はカード名義人名、クレジットカード番号、有効期限、セキュリティコード、カード会員メールアドレス。個人情報は氏名、住所、電話番号、メールアドレ
Appleでソフトウェアエンジニアを務めるリッキー・モンデロ氏は、iOS12で新たに追加された「セキュリティコードの自動入力」機能がどのようにできたかの裏話を、ソーシャルメディア上で語りました。 コードの手打ちを自動化する画期的な仕組み Appleの昨年の世界開発者会議(WWDC18)で発表されたiOS12の新機能「セキュリティコードの自動入力」は、アプリやWebサイトなどのサービスにユーザー登録したときに、携帯電話番号認証のためSMS(ショートメール)で送られてくるコードを自動的に入力してくれる便利な仕組みです。 それまで手動でコードを打たなければならなかったのが自動化され、大きく手間が省けるようになりました。2ファクタ認証を行ったことがあるユーザーは、この機能がどれだけ便利かをおそらくご存知かと思います。 機能は実装に取りかかったその日からうまく動作 Apple従業員のモンデロ氏(@r
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。 カード情報を保存しなければ安全か セキュリティ対策の一般論として、パスワードのような重要な情報は平文での保存は避ける(ハッシュ値で保存する)べきである。用途次第では顔認証などデバイスでの認証を行い、サーバでの認証情報の保存も避ける。ECサイトなどのオンライン決済でも、類似の観点から決済ページは専門の決済サイト事業者に任せ、ECサイト内で完結させない。セキュリティコードは保存しないで都度削除する──といった対策がセオリーになっている。 こうしたセオリーは、間違ってはいない。大手クレジットカード会社が採用するセキュリティ基準である「P
はじめに AWS超初心者(利用開始前)の方向けの記事です。 AWSへアカウントを登録しようとした際、本人確認画面でエラーになり、先に進めない状況が続いていました。 AWSからのメールには「AWSがクレジットカードのCVV2(セキュリティコード)に対応していない」ことが原因という内容が書かれていたので、同じ状況に陥った方向けに自分がとった解決法を書きます。 まとめ AWSがクレジットカードのセキュリティコードに対応しておらず、カード会社側のセキュリティ認証で弾かれていた カード会社に連絡し、セキュリティコードの一時解除をしてもらった 何が起こったか AWSの個人利用アカウント登録の際、本人確認画面でエラーになる (※エラーそのものはキャプチャし損ねました…) EC2インスタンスを立てることができない アカウント認証ができていない状態でもマネジメントコンソール自体は使用できます。 試しにEC2
メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード) - Fox on Security
決済代行会社のメタップスペイメント社から、ここ数年で最大のカード漏洩(国内)が発表されました。発表された内容を読むと下記の記事にある様に”やられ放題”と書かれても仕方が無い、基本セキュリティ対策の不備が含まれています。この不正アクセス事件について専門家の立場で考えてみます。 www.itmedia.co.jp 公式発表 ・不正アクセスによる情報流出に関するご報告とお詫び(2/28)[魚拓] ※第2報 ・不正アクセスに関するご報告とお詫び(1/25)[魚拓] ※第1報 2. 不正アクセスおよび流出情報について 今回は決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出いたしました。 ① トークン方式クレジットカード決済情報データベース 2021年10月14日から2022年1月25日に利用されたクレジットカード番号数(括弧内は流出情報):460,395件
iOS12以降で、SMSに届いたセキュリティコードを認証時に自動で入力する機能が加わりました。 具体的には、二段階認証を採用しているサービスにサインインする際、SMSアプリに届いたセキュリティコードをOSが自動で検知しキーボード上に表示してくれることで、タップするだけで入力することができるようになりました。 これまで生じていた、サインインページを開いたアプリやWebサイトからSMSアプリに切り替えて届いたセキュリティコードをコピーし、再度サインインページを開いたアプリやWebサイトに切り替えてコピーしたセキュリティコードを貼り付ける、といった手間を削減することができます。 二段階認証とは? 二段階認証には、通常のサインインに用いるメールアドレスまたはID、それらに応じたパスワードによる認証に加えて、一定時間だけ有効なセキュリティコードの入力も必要になるため第三者による不正ログインを防止する
iOS 16ではクレカのセキュリティコードもiCloudキーチェーンに保存可能に2022.06.14 17:00 そうこ すぐポチる人は複雑な心境かも…。 開発者向けベータ版から、iOS 16の新機能が続々と明らかになっています。ネットでポチーが大好きなユーザーに朗報が(…たぶん朗報)。iOS 16では、クレジットカードのセキュリティコードもiCloudキーチェーンに保存できるようになると、Bloombergの記者がTwitterで報告しています。 セキュリティコード=CVVとは、クレジットカードの裏にある3桁の数字。ネットでお買い物していると、この入力を求められることが多々あります。カード番号や有効期限は端末に保存できるのに、このCVVを確認するため、結局、物理的にカードチェックしなくちゃという面倒くささがあったんです。これが保存されるようになれば、ネットショッピングがますますスムーズに
クレジットカードの券面に、カード番号などの表示がない「ナンバーレスカード」が、セキュリティ性能の高い次世代カードとして注目されている。だがこのほど、ナンバーレスカードの発行で、稀有なトラブルが発生した。 渦中にあるのは、QR決済でおなじみのPayPayの名を冠する「PayPayカード」である。@DIME読者の皆さんで、旧ヤフーカードを所有している場合は、手元に届いたPayPayカードやPayPayカード社からのメールをチェックしてみてほしい。 カードの台紙に記載のあるセキュリティコードが間違っていた! 大手検索サイトであるヤフーの子会社で、クレジットカード事業を手がけるPayPayカード社が、2022年4月から、旧ヤフーカード保有者向けに、切り替えカードの送付を開始した。 新カードは、2021年12月から発行が始まったPayPayカードというカードで、カード券面にカード番号、有効期限、セキ
マイナポイント WAON一体型イオンカードの申込方法はどうやってするの?決済サービスID・セキュリティコードの設定方法【図解付き】
当ブログに訪問頂きましてありがとうございます。 「かとやす」(@tatiaipo_kabu)です。 2020/9/1からはじまるマイナポイントの申込は終わりましたでしょうか? 私はWAON一体型イオンカードで申込しましたが、申込方法も意外とややこしいですよね。 ここではWAON一体型イオンカードでのマイナポイントの申込方法を【図解付き】で紹介します。 WAONの決済サービスIDやセキュリティコードはどうやって調べるの?って方はここで解決できます! また、マイナポイント申込事業者に迷っている方にも参考にして頂けると幸いです。 マイナポイント開始まで1ヶ月を切ってますので、9月からマイナポイント還元に向けて出来るだけ早めに申込しましょう!
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 | スラド セキュリティ
東映の子会社である東映ビデオは9月30日、同社が運営する「東映ビデオ オンラインショップ」で、ユーザーのクレジットカード情報(10,395件)が漏えいした可能性があると発表した(東映ビデオ)。 原因は外部からの不正アクセスとみられ、漏洩はクレジットカード会社からの指摘で判明したという。クレジットカード会社から漏洩の指摘があったのは5月11日。その段階でサービスは停止している。5月29日に第三者機関による調査が完了したとのこと。最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生、利用者のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した可能性があるとしている。 5月に判明していたにもかかわらず、9月まで発表が遅れた理由としてはカード会社と協議を重ねていたためだとしている。 Dharma-store 曰く、 クレカ情報
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スイパラ、セキュリティコードなどクレカ情報一式7000件以上漏えいか 不正アクセスで決済システム改ざん
セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く
打楽器専門ECサイトでカード情報漏えい 最大1667件、セキュリティコードも流出 悪用の可能性
ソースネクストで11万人分のカード情報が漏洩の可能性「セキュリティコードも含めて漏洩」「決済システムごと改ざん」
「エヴァ」公式ECでクレカ情報流出か セキュリティコード含む1万7828件
約1.4万人分のクレカ番号・セキュリティコードなど漏えいか 約3.9万人分の個人情報も 大阪のスポーツ用品店
女性向けECサイトでクレカのセキュリティコード流出か サービスは停止済み、再開時期は未定
クレジットカード番号とセキュリティコードの生成アルゴリズムを調べ、紙とペンで計算・生成 | スラド セキュリティ
古着通販「ベクトルパーク」に不正アクセス 1万8136人分のカード情報やセキュリティコードが漏えいか
日清紡Gでもセキュリティコードなどクレカ情報1000件漏えいか ECサイト改ざんで
「デザイン婚姻届」販売サイトでクレカのセキュリティコードなど流出 改ざん受け、ブラウザ入力情報を外部に転送
ジョイフル本田、ECサイトでクレカ番号、セキュリティコードなど約4000件漏えいか 個人情報約2万件も
ソースネクスト、クレカ情報漏洩11万件 セキュリティコードも
iOS12で追加の「セキュリティコードの自動入力」は偶然できた機能だった?
dアカウントの2段階認証、登録済みの電話番号を「セキュリティコードの送り先」に
常識では守れない? クレカ情報漏えいで、なぜ「セキュリティコード」まで漏れるのか
AWSのアカウント登録にセキュリティコード(CVV2)関連で失敗する件 - Qiita
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる(ITmedia NEWS) - Yahoo!ニュース
【iOS12~】SMSで届いたセキュリティコードを自動入力させる方法 - iPhone Mania
iOS 16ではクレカのセキュリティコードもiCloudキーチェーンに保存可能に
セキュリティコードが間違っていた!?「PayPayカード」の利用者が今すぐチェックすべきこと|@DIME アットダイム
blog.livedoor.jp/yakiusoku
nankai-magazine.com
anond.hatelabo.jp
blog.livedoor.jp/yakiusoku
anond.hatelabo.jp
pandora11.com